Add to collection(s) Add to saved
  1. No category
Uploaded by Pedro Antonio Messias Lemos

seguranca.tic.45.alunos

advertisement 
Segurança em Tecnologia da
Informação e Comunicação
2023
Mario Lemes Proença Jr.
DC/UEL
Referência do Autor
• Mario Lemes Proença Jr.
 Universidade Estadual de Londrina
 Departamento de Computação
 E-mail
: proenca@uel.br
 Home Page
: http://proenca.uel.br
 Telefone
: 043-3371-4678 (DC/UEL)
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
2
1
Objetivos do Curso
Aprender sobre Segurança em Tecnologia de
Informação e Comunicação
I)
Introdução a Segurança
II) Tipos de Ataques
III) Defesas
IV) Criptografia
V) Protocolos para Segurança
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
3
I - INTRODUÇÃO
2
Introdução – Redes
• A área de Tecnologia de Informação e Comunicação
(TIC) se tornou essencial para o negócio da empresa,
deixou de ser coadjuvante e se tornou estratégica.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
5
Introdução - Segurança
Proteção
Disponibili
dade
Integridade
04/2023
Internet
Bilhões pcs,
celulares,
dispositivos
Porque
Segurança ?
Preservar
Valor
Confidenci
alidade
© Segurança de TIC - Mario Lemes Proença Jr.
6
3
Introdução - Segurança
Por que segurança ?
www.internetworldstats.com em 04/2023
população
usuários Internet
www.internetworldstats.com em 03/2021
população
usuários Internet
04/2023
Mundo
7.932.791.734
5.385.798.406
Mundo
7.796.615.710
4.574.150.134
%
Ataques bem sucedidos ?
1%
0,10%
0,01%
68% 53.857.984 5.385.798 538.580
%
Ataques bem sucedidos ?
1%
0,10%
0,01%
59% 45.741.501 4.574.150 457.415
© Segurança de TIC - Mario Lemes Proença Jr.
7
Introdução a Segurança - Princípios
• Confidencialidade (Confidentiality): visa limitar o
acesso a informação somente às entidades ou pessoas
autorizadas pelo proprietário da informação.
• Integridade (Integrity): visa garantir que a
informação manipulada mantenha todas as
características
originais
estabelecidas
pelo
proprietário da informação.
• Disponibilidade (Availability): visa garantir que a
informação esteja sempre disponível para os usuários
autorizados pelo proprietário da informação.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
8
4
Introdução a Segurança - Princípios
• Autenticação (Authentication): visa identificar o
usuário que está utilizando o recurso.
• Controle de acesso (Access Control): visa garantir
que a pessoa tenha acesso somente a informações que
o seu perfil tem acesso.
• Não repúdio (non-repudiation): visa garantir que a
pessoa não possa negar que tenha realizado a ação ou
transação.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
9
Introdução a Segurança
• O que proteger ?
 Ativos
Dados
• Informação é o dado com valor agregado;
Pessoas
Processos
Tecnologia
• Hardware
• Software
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
10
5
Introdução a Segurança
Ameaça
Falha no
Serviço
Invasão
04/2023
Vulnerabi
lidade
Ataque
© Segurança de TIC - Mario Lemes Proença Jr.
11
Introdução a Segurança
 Ameaça: Virus, Worm, cavalo de Tróia, scanning.
Elas exploram vulnerabilidades.
 Vulnerabilidade: Erros em Projetos, Erros em
Instalações, falha de hardware ou software.
 As duas podem ser identificadas, prevenidas e
mitigadas.
 Gerenciamento de Risco deve ser empregado.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
12
6
Introdução a Segurança
• A Segurança passou a ter importância vital nos
negócios atualmente. Cite pelo menos um ou mais
exemplos para cada questão relacionado ao que
ocorre em sua empresa ou se não existe como você
acha que deveria ser? (30 m individual) (segurança-ex-01)
I.
II.
III.
IV.
V.
VI.
A Informação deve estar disponível para quem ?
Quais os riscos e ameaças ?
Qual a política de segurança ?
Quais as normas de segurança ?
Qual o plano de contingência ?
Treinamento relacionado a segurança ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
13
Introdução a Segurança
I. A Informação deve estar disponível para quem ?
. . .
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
14
7
Introdução a Segurança
II. Quais os Riscos e Ameaças
 Fenômenos físicos
Incêndio, inundação, terremotos, catástrofes,
guerras ...
 Ataques deliberados
Passivos
Ativos
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
15
Introdução a Segurança
Figuras 1.3 e 1.4 Stallings
Criptogrpahy and network security
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
16
8
Introdução a Segurança
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
17
Introdução a Segurança
• Atacantes
 Hackers
 Antes queriam notoriedade.
 Hoje querem retorno financeiro.
Ele próprio ou para a organização criminosa que ele
pertence.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
18
9
Introdução a Segurança
• Tendências últimos 2 anos
 Ataques direcionados a Aplicativos Web
Computação ubíqua e onipresente;
Phishing
• Links para download de malwares
 Ataques direcionados a e-mails;
 Ataques a redes sociais; Fake News;
 Ataques a smartphones e gadgets com wireless, wifi e IP;
 Aplicações web sofrem
Paginas abertas (links abertos), aplicações com furos
Servidores configurados de forma errada
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
19
Introdução a Segurança
• Tendências últimos 2 anos
 Ataques direcionados a APPs de celulares
Milhões de APPs
Lojas google e Apple não conseguem filtrar todas as
novas linhas de códigos que diariamente entram nas
atualizações dos APPs
Explosão de malware em apps de jogos e musicas
Evitar links em apps gratuitos
Ter backup é sempre a melhor e talvez única saída!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
20
10
Introdução a Segurança
• Tendências últimos 2 anos
 Ransomware
Ataque por meio da Web ou e-mail
Vulnerabilidades antigas mas não corrigidas
• Flash, jboss, java, linguagens não atualizadas
Navegadores antigos e não atualizados
Servidor web desatualizado
Pacotes de escritório editor, planilha desatualizados para
packs de segurança
Sistema operacional não atualizado
Software pirata
Dados não criptografados
Solução fazer backup e testar!!!
Nova geração a caminho, controle CPU e outros recursos
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
21
Introdução a Segurança
• Tendências últimos 2 anos
 Malware para dispositivos IoT
Segurança precisa ser reforçada
 Ransomware e Phishing direcionados e a temas sazonais
 Estão utilizando IA, Machine Learning e Deep Learning
para ataques de DDoS, phishing de e-mail
 E-mail e sites redirecionando a paginas comprometidas para
coletar informações e/ou realizar ataques
 As pessoas continuam a ser o elo fraco da corrente
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
22
11
Introdução a Segurança
• Tendências últimos 2 anos
 A questão é todas as empresas e computadores podem ser
atacados e invadidos.
Teste de invasão ou pen test; teste de vulnerabilidade !!!
A questão principal é se você foi violado ou invadido ...
Qual o dano ?
Qual o risco ?
Qual a contramedida ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
23
Introdução a Segurança
• Sistemas e Softwares
 A área de desenvolvimento de sistema deve:
Prever testes de vulnerabilidade
desenvolvimento do sistema.
durante
o
Fazer correções de vulnerabilidades após o sistema estar
em produção.
Incluir criptografia nos dados que trafegam pela rede e
ficam armazenados.
Pensar em segurança nos projetos de software!!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
24
12
Introdução a Segurança
• Falta de cuidados em relação a segurança
 Pessoas são incautas !
 Senhas são fracas ! Não são trocadas ! São iguais !
Qual a ultima vez que você trocou sua senha ?
 Pessoas ainda acreditam no conto do bilhete !!!
 Engenharia social com apelos muito fortes !!!
Exemplos e-mails...
 Pessoas acreditam no clique e veja minha msg sedutora !!!
 Muito software pirata !
Quem utiliza software legal ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
25
Introdução a Segurança
• Senhas mais utilizadas!!!
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
2022
2021
2020
2019
2018
2017
2016
2015
2014
password
123456
123456789
guest
qwerty
12345678
111111
12345
col123456
123123
1234567
1234
1234567890
0
555555
666666
123321
654321
7777777
123
D1lakiss
777777
110110jp
1111
123456
123456789
12345
qwerty
password
12345678
111111
123123
1234567890
1234567
qwerty123
0
1q2w3e
aa12345678
abc123
password1
1234
qwertyuiop
123321
password123
1q2w3e4r5t
iloveyou
654321
666666
987654321
987654321
123456
123456789
picture1
password
12345678
111111
123123
12345
1234567890
senha
1234567
qwerty
abc123
Million2
000000
1234
iloveyou
aaron431
password1
qqww1122
123
omgpop
123321
654321
qwer123456
123456
123456789
qwerty
password
1234567
12345678
12345
iloveyou
111111
123123
abc123
qwerty123
1q2w3e4r
admin
qwertyuiop
654321
555555
lovely
7777777
welcome
888888
princess
dragon
password1
123qwe
123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
football
123123
monkey
654321
!@#$%^&*
charlie
aa123456
donald
password1
qwerty123
123456
Password
12345678
qwerty
12345
123456789
letmein
1234567
football
iloveyou
admin
welcome
monkey
login
abc123
starwars
123123
dragon
passw0rd
master
hello
freedom
whatever
qazwsx
trustno1
123456
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
qwertyuiop
mynoob
123321
666666
18atcskd2w
7777777
1q2w3e4r
654321
555555
3rjs1la7qe
google
1q2w3e4r5t
123qwe
zxcvbnm
1q2w3e
123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball
welcome
1234567890
abc123
111111
1qaz2wsx
dragon
master
monkey
letmein
login
princess
qwertyuiop
solo
passw0rd
starwars
123456
password
12345678
qwerty
abc123
123456789
111111
1234567
iloveyou
adobe123
123123
Admin
1234567890
letmein
photoshop
1234
monkey
shadow
sunshine
12345
password1
princess
azerty
trustno1
.000000
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
26
13
Introdução a Segurança
III. Qual a política de segurança ?

São princípios básicos para uma organização para
segurança.

Instalações, hardware, software e pessoas !!!
IV.Quais as normas de segurança ?
 Quais os controles aplicáveis a segurança.
 Regras e Procedimentos relacionados aos ativos de TIC.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
27
Introdução a Segurança
V. Qual o plano de contingência ?
 O que fazer em caso de ataque ou incidente ?
 ?
 Qual o Plano de ação em caso de perda dos ativos de TIC?
 Hardware
•
Tem contrato de manutenção 24x7 ou 8x7 ou x ?
•
Tem clone ou spare ?
 Dados e Software
04/2023
•
Tem backup 7x7 ou 5x7 ?
•
Quantas semanas e meses será a retenção ?
© Segurança de TIC - Mario Lemes Proença Jr.
28
14
Estatísticas de Segurança
Introdução a Segurança
• Centro de Atendimento a Incidentes de Segurança (CAIS) da
Rede Nacional de Pesquisa (RNP)
 https://www.rnp.br/sistema-rnp/cais
Tratamento de Incidentes
CSIRTs
Catálogo de Fraudes
Alertas
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
30
15
Introdução a Segurança
•
Incidentes reportados por ano ao CAIS – 1997 a 03/2023 www.rnp.br/cais
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
31
Introdução a Segurança
•
Incidentes reportados por mês ao CAIS – 2015 a 03/2023 www.rnp.br/cais
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
32
16
Introdução a Segurança
•
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no
Brasil mantido pelo NIC.br do Comitê Gestor da Internet no Brasil.
 www.cert.br
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
33
Introdução a Segurança
•
Incidentes reportados ao CERT.br
04/2023
www.cert.br
© Segurança de TIC - Mario Lemes Proença Jr.
34
17
Introdução a Segurança
•
Totais Mensais e Anual Classificados por Tipo de Ataque reportados ao CERT.br
Total
Jan a jun 2020
Jan a dez 2019
04/2023
318.697
worm
dos
55.645 46.164
875.327 100.477 301.308
invasão web
615
527
sacn
fraude Outros
8.811 187.440 18.024
22.334 409.748 39.419
© Segurança de TIC - Mario Lemes Proença Jr.
1.998
1.514
35
Introdução a Segurança
Legenda CERT.br, Tipo de Ataque reportados
 worm: notificações de atividades maliciosas relacionadas com o processo automatizado de
propagação de códigos maliciosos na rede.
 dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante
utiliza um computador ou um conjunto de computadores para tirar de operação um serviço,
computador ou rede.
 invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou
rede.
 web: um caso particular de ataque visando especificamente o comprometimento de servidores
Web ou desfigurações de páginas na Internet.
 scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais
computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente
utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis
vulnerabilidades aos serviços habilitados em um computador.
 fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou
ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as
notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter
vantagem.
 outros: notificações de incidentes que não se enquadram nas categorias anteriores.
 Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade
de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
36
18
Introdução a Segurança
•
Totais Mensais e Anual Classificados por Tipo de Ataque reportados ao CERT.br jan a jun / 2020
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
37
Introdução a Segurança
•
Totais Mensais e Anual Scans por porta reportados ao CERT.br jan a jun 2020
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
38
19
Introdução a Segurança
•Totais
Mensais
e
Anual
Classificados
jan/dez/2009/2010/2011/2012/2013/2014/2015
04/2023
por
Tipo
de
Ataque
reportados
© Segurança de TIC - Mario Lemes Proença Jr.
ao
CERT.br
39
Introdução a Segurança
•
Total Anual de SPAM reportados ao CERT.br 2003 a 2023
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
40
20
Introdução a Segurança
•
Os ataques se tornaram mais sofisticados e o conhecimento necessário para tanto
diminuiu. (stallings cripto 4d.)
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
41
Introdução a Segurança
• United States Computer Emergency Readiness Team
http://www.kb.cert.org/vuls
 US-CERT publishes information about a wide variety of vulnerabilities.
Vulnerabilities that meet a certain severity threshold are described in USCERT Technical Alerts. It is difficult, however, to measure the severity of a
vulnerability in a way that is appropriate for all users. For example, a
severe vulnerability in a rarely used application might not qualify for
publication as a technical alert but might be very important to a system
administrator who runs the vulnerable application. US-CERT
Vulnerability Notes provide a way to publish information about these lesssevere vulnerabilities.
 You can customize database queries to obtain specific information, such as
keyword, vendor, year
https://www.kb.cert.org/vuls/search/
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
42
21
Introdução a Segurança
• Relatório de ameaças da McAfee
 MCAFEE LABS THREATS REPORT 11/2020
 https://www.mcafee.com/enterprise/en-us/lp/threats-reports/nov-2020.html
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
43
Introdução a Segurança
• Relatório de ameaças da Panda Security em 2009/2021
 Relatório Anual de 2009
 Relatório Anual de 2010
 Relatório de Abril a Junho de 2011
 Relatório Anual de 2011
 Relatório Anual de 2014 2015 2016
 Relatório Anual de 2017 2018
• Panda Security launches its Threat Insights Report 2020
 https://www.pandasecurity.com/en/mediacenter/panda-security/threat-insights-report-2020/
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
44
22
Introdução a Segurança
• News
 Google contrata Hacker que invadiu Google+
 Hacker afirma: Facebook sabe tudo o que você faz na
web, mesmo após log out
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
45
Introdução a Segurança
• News
 Google Security Blog
 Safe Browsing - Protecting Web Users for 5 Years and
Counting, 19/06/2012/google
Google identifica aproximadamente 10 k sites
maliciosos por dia !!!
Hoje
Safe
Google Transparency Report
04/2023
Browsing
© Segurança de TIC - Mario Lemes Proença Jr.
46
23
Introdução a Segurança
• News
Malware bate recorde em 2011, 26 milhões de
exemplares
O número de ameaças lançadas
aumentou de 63.000 para 73.000 !!!
diariamente
Em 2014 os números aumentaram.
Em 2016 Kaspersky Lab: 323,000 New Malware
Samples Found Each Day
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
47
Introdução a Segurança
• Informações sobre uso de HTTPS by Google
Nos produtos Google
Uso de HTTPS reportado pelo Google
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
48
24
II - Ataques
Ataques
• Ataques
 Passivos
Escutas
Monitoramentos
 Ativos
Disfarçar, passar pelo outro
Capturar e depois liberar
Capturar mensagem legitima e alterar
Denial of service ou negação de serviço
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
50
25
Ataques
• Ataque de Força Bruta
 Consiste em tentar todas as combinações possíveis para
quebrar uma criptografia;
 Busca exaustiva de todas as combinações para encontrar a
chave para decifrar o código ou uma senha;
Como esta sua senha ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
51
Ataques
• Ataque a senhas fracas
 Consiste em tentar todas as combinações possíveis e
previsíveis para encontrar senhas de mamões;
Como esta sua senha ?
• Senhas fracas: Datas aniversario, telefone, nomes parentes e
de cachorros, papaia ...
• Lugares fáceis: embaixo do teclado, mouse pad, embaixo do
telefone, embaixo da mesa, monitor, na 1ª gaveta ... 
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
52
26
Ataques
• Ataque de Criptoanálise
 Consiste em tentar decifrar o texto contando com
informações privilegiadas sobre o algoritmo utilizado para
cifrar o texto;
 O objetivo é reduzir as operações para quebra da
criptografia.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
53
Ataques
• Ataque de “Homem do Meio”
 Ataque chamado Man-in-the-middle;
 Consiste em um usuário mal intencionado que se infiltra na
comunicação entre duas entidades, captura os pacotes
enviados decifra e retransmite para eles sem que os mesmos
percebam. De posse dos pacotes capturados o atacante pode
decifrá-los;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
54
27
Ataques
• Ataque de Replay
 Ataque do tipo Man in the Middle onde os dados que estão
sendo transmitidos de A para B são interceptados para
posterior retransmissão;
 Contra medidas
Session token
Timestamping
nonce (number used once) + Message authentication
Code (MAC)
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
55
Ataques
• Ataque de denial of dervice (DoS attack) ou
distributed denial of service (DDoS attack)
 Ataque chamado Negação de serviço;
 Consiste em realizar maciças solicitações validas a um
determinado provedor de serviço de tal forma que o mesmo
fique impedido de atender aos usuários normais;
 Alvos mais comuns são servidores web e de e-mail;
 Normalmente realizada por computadores zumbis;
 Sintoma
Perda de performance;
Serviço não disponível;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
56
28
Ataques
• Ataque de denial of dervice (DoS attack) ou
distributed denial of service (DDoS attack)
 Ataque pode executar
Consumo de recursos computacional como disco,
largura de banda ou tempo de processador;
Alteração da tabelas de roteamento;
Cancelamento de sessões TCP;
Desligamento de componentes físicos de rede;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
57
Ataques
• Malware
 Malicious software, pode ser:
Vírus, worms, trojan ou cavalos de tróia, spywares;
 Tem o objetivo se infiltrar no computador de uma vitima
com o objetivo de adquirir informações pessoais;
 Se divide em duas categorias: 1ª que precisam de um
programa hospedeiro e 2ª que são independentes;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
58
29
Ataques
• Phishing
 Consiste em adquirir informações pessoais de forma
enganosa utilizando engenharia social por meio de e-mails
ou páginas Web falsas;
 Um estelionatario envia e-mails falsos forjando a identidade
de pessoa conhecida ou mesmo popular que seria
considerada confiável !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
59
Ataques
• Phishing
(Safe Browsing - Protecting Web Users for 5 Years and Counting, 19/06/2012/google)
 https://transparencyreport.google.com/safe-browsing/overview
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
60
30
Ataques
• Spyware
 Consiste em um programa automático que tem o objetivo de
recolher informações e costumes sobre o usuário, sem
autorização e conhecimento do mesmo, transmitindo o
resultado para uma entidade externa.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
61
Ataques
• Vírus
 É um programa do tipo malware que infecta o computador
com objetivos espúrios e tenta fazer copias de si em outros
programas ou mesmo computadores;
 A contaminação se da por meio da execução de um
programa ou arquivo infectado que venha por meio de um
e-mail, pendrive, hd externo;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
62
31
Ataques
• Worms
 É um programa que tem a capacidade de se propagar
automaticamente pelas redes, enviando copias de sim
mesmo para outros computadores;
 Em alguns casos alterando seu código, ou seja sofrendo
mutação.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
63
Ataques
• Vírus
 Vários reports
https://www.microsoft.com/en-us/wdsi/threats
https://www.mcafee.com/enterprise/en-us/threatcenter.html
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
64
32
Ataques
• SCAM
 Fraude ou golpe com finalidade de se obter vantagens
financeiras;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
65
Ataques
• Trojan ou Cavalo de Tróia
 Software do tipo malware infiltrado no computador da
vitima com o objetivo de dominar o sistema para que o
mesmo seja manipulado pelo atacante.
 Sofware aparentemente normal e útil que em um
determinado momento realiza uma função maléfica para
prejudicar a vítima.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
66
33
Ataques
• Backdoor
 São portas ou pontos de entrada deixadas propositalmente
em um software que permite ao atacante se infiltrar no
computador da vitima com o objetivo de dominar o sistema
para que o mesmo seja manipulado pelo atacante.
 São ameaças reais de programadores inescrupulosos.
• Bomba lógica
 Um código embutido em um software propositadamente por
um programador para prejudicar uma empresa ou
organização;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
67
Ataques
• SPAM
 Consiste no envio de mensagem não solicitada;
Boato ou hoaxes;
Correntes;
Propagandas;
Golpes ou SCAN;
Phishing;
Trojans;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
68
34
Ataques
• SPAM
 Infelizmente o Brasil ocupa lugar de destaque no ranking
mundial de SPAM;
 Notícias sobre SPAM
• Brasil é o terceiro país em ranking mundial de spam de 2010
http://computerworld.uol.com.br/seguranca/2010/07/14/brasil-e-o-terceiro-pais-em-ranking-mundial-de-spam-de-2010/
• Brazil, India and Korea top the first 2010 ranking of spam sources
segundo Panda Security
http://www.pandasecurity.com/homeusers/media/press-releases/viewnews?noticia=10111
• Relatório da Symantec sobre SPAM Phishing 10/2010
» clique

04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
69
Ataques
• Ataque de Scanning
 Consiste na varredura de endereços com o objetivo de
encontrar portas abertas para invadir os computadores;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
70
35
Ataques
• Ataque de DNS Spoofing
 Consiste em falsificar respostas do DNS direcionando a
vitima a domínios e sites diferentes do requerido;
 A vítima acessando a site ou domínio do atacante fica
totalmente vulnerável a ataques de sniffer e falsificação de
solicitação de senhas e cadastros etc...
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
71
Ataques
• Bot e Botnets
 Um bot é um tipo de malware que permite o atacante a ter
controle sobre o computador afetado;
 Os bots normalmente são utilizados para compor uma rede
de bots chamadas de botnets;
 Os computadores infectados também são chamados de
computadores zumbis;
 As botnets são compostas de centenas até milhares de
computadores;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
72
36
Ataques
• Bot e Botnets
 Tipos de ataques realizados pelas botnets
DDOS;
SPAM
Keylogging
Sniffing
Objetivo é o lucro !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
73
Ataques
• Bot e Botnets
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
74
37
Ataques
• Engenharia Social
 Atualmente um dos mais temíveis ataques, que não se
pode evitar por meio de firewall, senhas fortes ou
mesmo dispositivo tecnológico !!!
 Vitima:
 Defcon 2011, hacker provaram que os funcionários caem
facilmente em ataques ardilosos por telefone.
 Funcionários precisam de treinamento !!!
 Funcionários são uma das maiores vulnerabilidades !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
75
Ataques
• Algo mais ?
 Vulnerability in MPEG-4 Codec Could Allow Remote Code Execution
 (14/set/2010) https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2010/ms10-062
 Microsoft Security Response Center
 https://www.microsoft.com/en-us/msrc?rtc=1
 https://msrc.microsoft.com/update-guide
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
76
38
Ataques
• Algo mais ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
77
Ataques
• Objetivo a ser alcançado ? Não ser dominado !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
78
39
III - Defesas
Defesas - Processos
• É fundamental que as organizações tenham bem
definidas:
 Políticas
Exemplos
 Normas e regras para os serviços
Exemplos
 Treinamentos
Segurança !!! Você tem ?
 Auditorias visando avaliar as políticas e normas de
segurança.
Sua empresa faz ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
80
40
Defesas - Processos
• É fundamental que os usuários:
1. Sejam céticos quanto a tudo em TIC;
2. Façam backup regularmente;
Guarde os backups em lugares separados do original;
Tenha mais de uma copia;
3. Tenha softwares legais;
4. Mantenha os softwares atualizados;
5. Não responda a e-mails sem sentido !!!
6. Monitore quem compartilha seu computador;
7. Utilize somente computadores confiáveis;
8. Utilize antivírus, anti spyware e firewall;
9. Troque as Senhas ! ! !
10. Tenha cuidado !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
81
Defesas - Tecnologias
•
•
•
•
•
•
•
•
Firewall
IDS
Antivírus
Anti-spam
Criptografia
Protocolos de Segurança
Honeypots
Sniffer
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
82
41
Defesas - Firewall
• Firewall
 Se constitui em uma porta onde todo o trafego da rede deve
passar;
 É empregado um conjunto de regras para o trafego que
entra e o que sai, inbound e outbound;
 Somente o trafego autorizado deverá passar pelas regras
vigentes no firewall;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
83
Defesas - Firewall
• Firewall
 Firewall proporciona
Controle de serviços: possibilita o controle em quais
serviços pode ou não ser acessados;
Controle de direção do trafego: possibilita determinar
qual direção solicitações de serviços irão seguir;
Controle de usuário: possibilita controle a acesso de
serviços por usuário;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
84
42
Defesas - Firewall
• Firewall
 Firewall protege contra ataques internos que são muitos !!!
 Não pode proteger contra ataques que o contornam !!!
 Exemplos
Versões para uso nas em datacenter (enterprise systems)
Versões para uso domestico (home user)
Iptables nativo no linux
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
85
Defesas - Firewall
• Firewall - Exemplos sistemas proprietários !!!
 Cisco
 Check Point VPN-1
 Fortinet
 Palo Alto Networks
 Barracuda
 IBM
 Panda
 Mcafee
 Sophos
 F-secure
 Juniper
 Grisoft
 Iptables nativo no linux e livre.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
86
43
Defesas - Firewall
• Firewall
 Exemplos Iptables nativo no linux e livre.
•
•
# videoconferencia com o Cern
# ------------------------------------------#
•
$IPTABLES -A FORWARD -p tcp -m multiport -s 172.10.0.0/16 -d vidyoportal.cern.ch --dport 443,17992,17990,80 -j
ACCEPT
$IPTABLES -A FORWARD -p tcp -m multiport -d 172.10.0.0/16 -s vidyoportal.cern.ch --sport 443,17992,17990,80 -j
ACCEPT
•
•
$IPTABLES -A FORWARD -p udp -m multiport -s 172.10.0.0/16 -d vidyoportal.cern.ch --dport 50000:65535 -j
ACCEPT
$IPTABLES -A FORWARD -p udp -m multiport -d 172.10.0.0/16 –s vidyoportal.cern.ch --sport 50000:65535 -j
ACCEPT
•
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
87
Defesas - Firewall
• Firewall
 Exemplos Iptables nativo no linux e nat ip valido invalido.



$IPTABLES -t nat -A PREROUTING -p tcp -m multiport -d 189.90.66.140 --dport 22,80,443,5433,8005,9001 -j DNAT -to 10.90.66.15
$IPTABLES -A FORWARD -p tcp -m multiport -d 10.90.66.15/32 --dport 22,80,443,5433,8005,9001 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -m multiport -s 10.90.66.15/32 --sport 22,80,443,5433,8005,9001 -j ACCEPT
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
88
44
Defesas - IDS
• Sistemas de Detecção de Intrusão
 Também chamados de IDS (Intrusion Detect Systems)
 É uma ferramenta para segurança que trabalha com base na
detecção de padrões;
 Também conhecido como 2ª linha de defesa
O intruso já esta dentro !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
89
Defesas - IDS
• Sistemas de Detecção de Intrusão
 O intruso pode ser
Alguém de fora disfarçado
Alguém de dentro infrator
 Normalmente o
vulnerabilidade.
04/2023
intruso
irá
buscar
por
© Segurança de TIC - Mario Lemes Proença Jr.
alguma
90
45
Defesas - IDS
• Sistemas de Detecção de Intrusão
 Normalmente o intruso irá buscar a senha de um usuário
para uma vez efetuado login na rede possa garimpar mais
informações e privilégios para o ataque;
 Fundamental que o arquivo de senha esta protegido
Senhas unidirecionais utilizando função de hash;
Controle rígido de acesso ao arquivo de senhas;
Política de senhas rigorosa, com prazos e tamanhos
mínimos;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
91
Defesas - IDS
• Sistemas de Detecção de Intrusão
 Arquivo de senhas
Senhas padrão devem ser alteradas; (default)
• Ex. roteadores, switches, access point; public private;
Senha com 3 ou menos caracteres devem ser proibidas;
Senhas com base em dicionário de hacker com palavras
conhecidas;
• Ex. 1234; abcde; jose; maria; utiliza dicionário de palavras
comuns...
Senha com informações sobre usuários
• Ex. nome; placa de carro; telefone; aniversario; nome parentes;
Política para senhas DEVE ser implementada e
mantida!!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
92
46
Defesas - IDS
• Sistemas de Detecção de Intrusão
 Os IDS trabalham com base na analise de comportamento e
desvio de padrão pesquisando por:
Anomalia
Detecção de padrões, (desvio de padrão)
Uso incorreto de privilégios
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
93
Defesas - IDS
• Sistemas de Detecção de Intrusão
• Técnicas para IDS
 Técnicas baseadas em conhecimento ou padrão conhecidas
como Knowledge-Based
Procura por padrão de ataque ou uma assinatura
Tem vantagens nos acertos
Desvantagens que necessita atualizações constantes
Atacantes modificam padrões constantemente !!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
94
47
Defesas - IDS
• Sistemas de Detecção de Intrusão
• Técnicas para IDS
 Técnicas baseadas em comportamento conhecidas como
Behavior-Based
Requer a criação de baseline;
• Perfil de comportamento do usuário e do segmento analisado;
Utiliza algoritmos estatísticos e/ou heurísticas para
estabelecer o padrão de comportamento;
Detecta mudanças de padrões na rede;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
95
Defesas - IDS
• Sistemas de Detecção de Intrusão
 Problemas são os alarmes falsos:
Falsos Positivos
Falsos Negativos
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
96
48
Defesas - UTM
• Unified Threat Management (UTM)
 Detecção de Intrusão
 Detecção de Vírus
 Trojan
 Spam
 Worms
 Spyware
 IPS
 Filtro URL
 Todos os serviços integrados em uma solução
 Facilita o gerenciamento (instalação, manutenção, atualização...)
 Exemplos de fabricantes: Palo Alto Networks, Cisco, Fortinet, Check
Point, SonicWall, Barracuda, Sophos, HPE,
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
97
Defesas - Honeypot
• Honeypot
 São computadores iscas que são colocados propositalmente
em posições estratégicas e com problemas e brechas de
segurança para registrar ataques a rede;
 O objetivo é coletar informações para aprendizado e futuras
contramedidas contra os invasores.
 São utilizados
Computadores com configurações padrões, instalações
básicas
Computadores com aplicações falsas que simulam
serviços reais na empresa
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
98
49
Defesas – Antivírus
• Antivírus
• Existe vários anti-vírus disponíveis:
 Microsoft Security Essential
 F-secure
 Avast
 AVG
 Avira
 MCAFEE
 Symantec
 Panda
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
99
IV - Criptografia
50
Criptografia – Algoritmos Simétricos
Algoritmos Simétricos
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
101
Criptografia – Algoritmos Simétricos
• Algoritmos Simétricos
• Os Algoritmos Simétricos utilizam somente uma
chave para encriptar e descriptar as mensagens.
• Somente quem transmite e recebe deve saber da
chave para cifragem das mensagens.
• Normalmente é utilizada a transmissão da chave
por meio de um canal seguro e que utiliza
algoritmos assimétricos.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
102
51
Criptografia – Algoritmos Simétricos
• Atributos desejados para os algoritmos simétricos:
 Ser resistentes a técnicas de criptoanalise;
 Possibilitar a geração de chaves com tamanho grande
para que não possa ser quebrada por técnicas de forca
bruta;
 Ser facilmente implementado em hardware;
 Ser de domínio publico;
 Ser resistente a ataques de força bruta;
 Ser eficiente e rápido.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
103
Criptografia – Algoritmos Simétricos
• Existem dois tipos de algoritmos simétricos:
 Codificação em fluxo
Tipo escolhido para aplicações que utilizam grande
fluxo de dados que requerem codificação e
decodificação constante.
 Codificação em blocos
Para aplicações que utilizam blocos de dados como
transferência de arquivos, e-mail, banco de dados.
Utiliza um tipo de chave simétrica que trabalha com
tamanho fixo de bits, normalmente de 64 ou 128 bits,
denominados blocos;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
104
52
Criptografia – Algoritmos Simétricos
Exemplos de Algoritmos Simétricos
 RC5, RC6, DES, TDES, Blowfish, Twofish, Serpent
 AES
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
105
Criptografia – Algoritmos Simétricos
• RC5
 Projetados por Ron Rivest do MIT em 1994;
 Em 1997 se tornou um padrão pelo RFC 2040;
 Utiliza os parâmetros
Tamanho do bloco, iterações e comprimento de chave;
 Pode conter blocos de tamanho variável de 32, 64 ou 128
bits
 As chaves pode ter de 0 a 2040 bits
 A RFC 2040 sugere que os valores de bloco e de chave
sejam de 64 e 12 bits.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
106
53
Criptografia – Algoritmos Simétricos
• RC5
 Foi oferecido pela RSA Security a recompensa de U$
10.000 para quem conseguisse quebrar um texto codificado
pelo RC5.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
107
Criptografia – Algoritmos Simétricos
• RC6
 É um algoritmo simétrico derivado do RC5;
 Projetado por Ron Rivest, Matt Robshaw, Ray Sidney e
Yiqun Lisa Yin;
 Foi proposto para competir com o AES (Advanced
Encryption Standard);
 Ficou entre os cinco finalistas;
 Utiliza blocos de 128 bits com chaves de 128, 192 e 256
bits, podendo tambem ser parametrizado.
 É de proprietário da RSA Security.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
108
54
Criptografia – Algoritmos Simétricos
• DES
 Data Encryption Standard (DES), o algoritmo é chamado
como Data Encryption Algorithm (DEA);
 Foi desenvolvido em 1976 pela IBM;
 Utiliza chave simétrica de 64 bits binários, dos quais 56 são
gerados aleatoriamente pelo próprio algoritmo, os 8 bits
restantes são utilizados para detecção de erros;
 Foi projetado para blocos de 64 bits;
 Foi selecionado como padrão pelo Governo dos EUA em
1976 e amplamente utilizado;
 Suspeitava-se que existia um backdoor incluído a pedido da
National Security Agency (NSA)
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
109
Criptografia – Algoritmos Simétricos
• DES
 Em julho de 1998 foi considerado inseguro, pois a
Elecronic Frontier Foundation (EFF) conseguiu quebrar
uma chave do DES em 56 horas !!!
 Em janeiro de 1999 o tempo para quebra caiu para 22 horas
e 15 minutos;
 Em outubro de 1999 DES foi reafirmado como padrão
porem com a utilização do Triplo DES !!!
 Em 2001 o AES assume o posto.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
110
55
Criptografia – Algoritmos Simétricos
• Triplo DES ou 3DES ou TDES
 Triple Data Encryption Algorithm (TDEA)
 Utiliza 3 chaves de 64 bits e 3 execuções do algoritmo
original o que causa extrema lentidão ao processo;
 Cifrar O = DES Ek1 -> DES Dk2 -> DES Ek3
O = Ek3(Dk2(Ek1(I)))
(cifrar)
O = Dk1(Ek2(Dk3(I)))
(decifrar)
 cifrar – decifrar – cifrar com as 3 chaves e o processo
inverso para restaurar ao original !!
 A chave seria de 56, 112 ou 168 bits;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
111
Criptografia – Algoritmos Simétricos
• AES
 Advanced Encryption Standard (AES) originalmente
publicado como Rijndael
 Foi desenvolvido por 2 belgas, Daemen e Rijmen
 Foi um processo de 5 anos de competição para escolha do
novo padrão;
 Concurso do NIST em 1997
 Foi anunciado como padrão pelo National Institute of
Standards and Technology (NIST) em 26/11/2001 no
documento FIPS PUB 197 (FIPS 197) e formalmente
adotado pelo governo dos EUA em 26/05/2002;
 Utiliza blocos de 128 bits com chaves de 28, 192 e 256 bits;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
112
56
Criptografia – Algoritmos Simétricos
• AES
 É um algoritmo rápido que requer pouca memória e pode
ser facilmente implementado em hardware e software;
 Esta sendo amplamente utilizado atualmente
 Nenhum ataque foi divulgado comprometendo sua eficácia
ainda !!!
 PORQUE !!! ???
 DESCUBRA PORQUE !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
113
Criptografia – Algoritmos Simétricos
• Blowfish
 Foi desenvolvido em 1993 por Bruce Schneie;
 É uma alternativa ao DES;
 Opera com blocos de 64 bits gerando chaves de 32 a 448
bits, sendo a de 128 a mais utilizada
 É livre;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
114
57
Criptografia – Algoritmos Simétricos
• Twofish
 Foi desenvolvido em 1993 por Bruce Schneie; Participou e
foi um dos finalista do concurso onde o AES foi o
vencedor;
 É uma alternativa ao DES;
 Opera com blocos de 128 bits gerando chaves maiores que
256 bits
• Serpent
 Projetado em 1998 por Anderson; Biham e Knudsen
 2º lugar no concurso que o AES foi vencedor;
 Trabalha com blocos de 128 bits e utiliza chaves de 128,
192 ou 256 bits de comprimento.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
115
Criptografia – Algoritmos Simétricos
• Codificação em Fluxo
 Diferente da codificação em bloco, nesta modalidade os
bytes são processados como stream, byte a byte ou bit a bit;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
116
58
Criptografia – Algoritmos Simétricos
• RC4
 Foi projetado por Ron Rivest da RSA Security em 1987;
 RC de Ron’s Code ou Rivest Cipher 4;
 É amplamente utilizado para cifragem de stream no SSL e
no Wired Equivalent Privacy (WEP) para redes sem fio
IEEE 802.11;
 Utiliza chaves de até 2048 bits ou 256 bytes;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
117
Criptografia – Algoritmos Simétricos
• Outros exemplos de algoritmos simétricos
• RC2 criado por Rivest em 1998;
• IDEA criado por Massey e Lai em 1991;
• CAST-128 criado por Adams em 1996;
• Skipjack implementado pelo NSA em 1998 no cartão
de criptografia Fortezza;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
118
59
Criptografia – Algoritmos Simétricos
Problemas !!!
• A distribuição de chaves na utilização de
algoritmos simétricos é o ponto crítico!
• Toda a segurança da criptografia é perdida na
medida em que o atacante obtêm a chave !!!
• Como proteger a distribuição de chaves nas
comunicações que utilizam criptografia com
algoritmos Simétricos ???
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
119
Criptografia – Algoritmos
Solução ?
Algoritmos Assimétricos
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
120
60
Criptografia – Algoritmos Assimétricos
• Algoritmos Assimétricos
• Em 1976 dois pesquisadores da Universidade de
Stantford,
chamados
Diffie
e
Hellman,
apresentaram uma nova forma de criptografia
para transmissões seguras.
• Utilizar chaves diferentes para o processo de
codificação e decodificação, criando a criptografia
assimétrica.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
121
Criptografia – Algoritmos Assimétricos
• Os Algoritmos Assimétricos utilizam somente duas
chaves para cifrar e decifrar as mensagens, cada
usuário passaria a ter um par de chaves.
• Uma chave privada mantida em segredo e uma
chave pública que pode ser distribuída a toda
comunidade.
Chave
privada
04/2023
Chave
pública
© Segurança de TIC - Mario Lemes Proença Jr.
122
61
Criptografia – Algoritmos Assimétricos
• Os Algoritmos Assimétricos de chave pública
podem ser utilizados para obter dois objetivos:
Confidencialidade
Autenticidade
Chave
privada
04/2023
Chave
pública
© Segurança de TIC - Mario Lemes Proença Jr.
123
Criptografia – Algoritmos Assimétricos
• Confidencialidade
Você agora pode transmitir mensagens
codificadas sem precisar trocar chaves para
criptografia.
Após codificada pela chave pública somente
quem tem a chave privada poderá decodificar a
mensagem.
Chave
pública
Alice
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
124
62
Criptografia – Algoritmos Assimétricos
• Confidencialidade
Chave
pública
Alice
Somente Alice
com sua chave
privada irá abrir a
mensagem.
04/2023
Chave
privada
Alice
© Segurança de TIC - Mario Lemes Proença Jr.
125
Criptografia – Algoritmos Assimétricos
• Autenticidade
A mensagem é codificada com a chave privada
do emissor e quem a receber poderá ter certeza
que a mensagem foi emitida realmente pelo
emissor.
A mensagem poderá ser decodificada com a
chave pública do emissor.
Chave
privada
Bob
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
126
63
Criptografia – Algoritmos Assimétricos
• Autenticidade
Chave
privada
Bob
Chave
pública
Bob
Foi realmente o
Bob quem enviou
a mensagem!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
127
Criptografia – Algoritmos Assimétricos
• Utilização da Criptografia de chaves
publicas e privadas
 Codificação e Decodificação de mensagens: O
remetente codifica a mensagem com a chave pública
do destinatário.
 Assinatura Digital: O remetente assina a mensagem
com sua chave privada.
 Troca de chaves: Troca de chaves simétricas.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
128
64
Criptografia – Algoritmos Assimétricos
X
Usa a chave
publica de Y
para cifrar a msg
X
Usa sua chave
privada para
assinar a msg
para Y
04/2023
Y
Usa sua chave
privada para ler
msg enviada por
X
Y
Usa a chave
pública de X para
validar a
assinatura da msg
enviada por X
© Segurança de TIC - Mario Lemes Proença Jr.
129
Criptografia
O cenário normal para comunicação de Alice e Bob seria
eles utilizarem a chave pública de um deles para trocar
uma chave simétrica. Com a chave simétrica eles
trocariam mensagens entre eles.
Chave
privada
Alice
04/2023
Chave Chave
pública pública
Alice
Bob
© Segurança de TIC - Mario Lemes Proença Jr.
Chave
privada
Bob
130
65
Criptografia – Algoritmos Assimétricos
 Animação exemplo sobre a utilização de chave
pública e privada
 Aplicações exemplos
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
131
Criptografia – Algoritmos Assimétricos
Exemplos de Algoritmos Assimétricos
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
132
66
Criptografia – Algoritmos Assimétricos
• RSA
O RSA foi Proposto em 1978 por Ron Rivest, Adi
Shamir e Leonard Adleman;
Resistente as tentativas de quebra;
Utiliza chaves de 1024 e 2048 bits;
Muito utilizado por bancos para transações na
Internet com chaves de 1024 bits;
Problema é a lentidão;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
133
Criptografia – Algoritmos Assimétricos
• Diffie-Hellman
Foi criado em 1976 por Whitfield Diffie e Martin
Hellman.
É considerado o 1º algoritmo assimétrico
Apresenta uma fraqueza que é a troca de valores
públicos que permitia ataques de homem no meio;
Não realiza autenticação das entidades, portanto
não garante confiabilidade;
Utilizado para troca de chaves pelo Internet Key
Exchange (IKE) do Ipsec.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
134
67
Criptografia – Algoritmos Assimétricos
• DSA
O Digital Signature Algorithm (DSA) foi em 1993
para servir como padrão para assinaturas digitais;
Não foi muito utilizado pois o RSA serve tanto
para assinaturas como para cifrar mensagens;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
135
Criptografia – Algoritmos Assimétricos
• KEA
O Key Exchange Algorithm (KEA) é o algoritmo
de troca de chaves utilizado no cartão de
criptografia Fortezza do National Security Agency
(NSA);
Superado em 1998;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
136
68
Criptografia – Algoritmos Assimétricos
• Elliptc-Curve Cryptography
O ECC foi desenvolvido para concorrer e superar o
RSA;
Foi padronizado pelo IEEE e utiliza abordagem
baseado em estrutura algébrica de curvas elípticas
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
137
Criptografia – Algoritmos Assimétricos
• ECDSA
O Elliptic Curve Digital Signature Algorithm é
baseado no DAS e utiliza operações sobre pontos
de curvas elípticas no lugar das exponenciações do
DAS;
Foi desenvolvido pelo American Natinal Standards
Institute (ANSI) e se tornou um padrão conhecido
pela sigla X9.62:2005
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
138
69
Criptografia – Algoritmos Hash
Hash
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
139
Criptografia – Algoritmos Hash
• Funções Hash
Seu objetivo é produzir uma saída única e distinta a
partir de uma entrada. Esta saída não poderá ser
convertida novamente na mensagem original que a
gerou;
Objetivo é obter uma assinatura digital única para
cada mensagem, garantindo desta forma sua
integridade;
Produz um valor numérico que pode ser
utilizado como indexador ou mesmo checksum.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
140
70
Criptografia – Algoritmos Hash
• Funções Hash
Se H e H’ são respectivamente a entrada e saída de
uma função Hash;
Com H’ não deve ser possível retornar a H;
Uma boa função Hash deve ser resistente a colisão
não possibilitando que entradas diferentes H ou
Hx, gerem a mesma saída H;
O resultado de uma função Hash deve ser unívoco.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
141
Criptografia – Algoritmos Hash
• MD5
O Message-Digest Algorithm 5 é o quinto de uma
série de funções hash desenvolvido por Rivest;
Foi projetado em 1991 para substituir o MD4;
Dado uma entrada de tamanho arbitrário ele produz
uma mensagem digest de 128 bits ou 16 bytes de
comprimento;
A entrada é dividida em blocos de 512 bts;
Wang e Yu demonstraram fragilidade do MD5
por não ser resistente a colisão !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
142
71
Criptografia – Algoritmos Hash
• MD6
O Message-Digest Algorithm 6 é o sexto de uma
série de funções hash desenvolvido por Rivest do
MIT;
Foi projetado para o concurso do SHA-3 realizado
pelo National Institute of Standards and
Technology;
Não passou da 2ª fase da competição !
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
143
Criptografia – Algoritmos Hash
• NIST hash function competition
Foi uma competição aberta pelo National Institute
of Standards and Technology para criação de novos
algoritmos de hash para substituir os SHA-1 e
SHA-2 que foram registrados em 2007;
A idéia do NIST era a criação de vários algoritmos
por meio de uma competição publica similar a
realizada que culminou na criação do AES;
 O ganhador seria chamado de SHA-3.
http://csrc.nist.gov/groups/ST/hash/sha-3/index.html
04/2023
2016
© Segurança de TIC - Mario Lemes Proença Jr.
144
72
Criptografia – Algoritmos Hash
• NIST hash function competition
Candidatos aprovados no 2º round
14 Algoritmos selecionados para 2ª fase
28/09/2009 a 12/09/2010
BLAKE
JH
Blue Midnight Wish
KECCAK
CubeHash
Luffa
ECHO
Shabal
Fugue
SHAvite-3
Grøstl
SIMD
Hamsi
Skein
http://csrc.nist.gov/groups/ST/hash/sha-3/Round2/Aug2010/index.html
Ver report dos aprovados c:/.../hash/sha3_NISTIR7620.pdf
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
145
Criptografia – Algoritmos Hash
• NIST hash function competition
Candidatos aprovados no 3º round
5 Algoritmos selecionados para 2ª fase
31/01/2011 a 10/02/2012
BLAKE
JH
KECCAK
Grøstl
Skein
http://csrc.nist.gov/groups/ST/hash/sha-3/Round3/index.html
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
146
73
Criptografia – Algoritmos Hash
• SHA-1
Secure Hash Algorithm (SHA) foi
desenvolvido pela NSA e publicado como
padrão pelo governo Americano;
A família é composta por
SHA-0, SHA-1 e SHA-2
SHA-1 é o mais utilizado, porem tem falhas
comprovadas !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
147
Criptografia – Algoritmos Hash
• Família SHA
Algorithm and
variant
Output
size (bits)
SHA-0
SHA-1
SHA-2 SHA256/224
SHA512/384
160
04/2023
256/224
512/384
Internal Block size
Max
state
(bits)
message
size
size (bits)
(bits)
64
160
512
2 -1
256
512
512
1024
64
2 -1
128
2
-1
Word
size
(bits)
Rounds
Operations
Collisions
found
32
80
+,and,or,xor,rot
32
64
Yes
No (251 attack)
+,and,or,xor,shr,rot.
None
64
80
+,and,or,xor,shr,rot
None
© Segurança de TIC - Mario Lemes Proença Jr.
148
74
Criptografia – Algoritmos Hash
• SHA-3
05 Agosto de 2015 !!!
 http://csrc.nist.gov/groups/ST/hash/sha-3/fips202_standard_2015.html
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
149
V – Protocolos de Segurança
75
TLS
Transport Layer Security
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
151
TLS
• O Transport Layer Security (TLS) foi criado pelo
IETF com base na versão 3 do SSL da Netscape;
• Em termos de funcionamento o TLS atua da mesma
forma que o SSL, porem com alguns detalhes
diferentes;
• Não interopera com o SSL;
• Padronização
handshake;
04/2023
do
SHA-1
para
assinatura
© Segurança de TIC - Mario Lemes Proença Jr.
no
152
76
TLS
• O TLS foi criado pelo IETF para atender a demanda
da comunidade da Internet com o objetivo de
padronizar um protocolo para comunicações seguras;
• Padrão é aberto;
• O Transport Layer Security (TLS) teve sua 1ª versão
publicada na RFC 2246 de 1999, ela foi baseada no
SSL 3.0;
• A 2ª publicação versão 1.1 foi publicada na RFC 4346
de 2006;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
153
TLS
• A 3ª publicação versão do TLS a 1.2 foi publicada na
RFC 5246 em 08/2008 e atualizada pela RFC 5746 de
02/2010, RFC 5878 de 05/2010 e RFC 6176 de
03/2011;
• O grupo de trabalho do IETF tem o mesmo nome do
protocolo
http://datatracker.ietf.org/wg/tls/
• Versão 1.3 está em draft
• Grupo ainda muito ATIVO !!!
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
154
77
TLS
• Extensões
 HTTP over TLS definida na RFC 2818
 IMAP, POP3 usando TLS RFC 2595
 SMTP Service Extension for Secure SMTP over TLS na
RFC 3207;
 Securing FTP with TLS na RFC 4217;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
155
TLS
• Objetivos do Transport Layer Security (TLS)
 Objetivo primário do TLS é prover privacidade e
integridade entre duas aplicações se comunicando.
(RFC 5246)
1. Segurança criptográfica: O TLS deve ser utilizado para
o estabelecimento de conexão segura entre duas partes;
2. Interoperabilidade: Deve permitir que diferentes
desenvolvedores utilizem o TLS em suas aplicações
independentes e elas possam se comunicar com
criptografia sem a necessidade de um conhecer o código
do outro.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
156
78
TLS
• Objetivos do Transport Layer Security (TLS)
3. Extensibilidade: A ideia é produzir um framework onde
novos algoritmos para criptografia simétrica e assimétrica
ou mesmo hash possam ser incorporados sem a
necessidade de criar outro padrão;
4. Eficiência relativa: Como as operações que utilizem
criptografia tendem a utilizar muito a CPU, foram
incorporados mecanismos de armazenamento com o
objetivo de reduzir overhead de rede e de processamento,
considerando que a criptografia de chave pública requer
muito processamento.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
157
TLS
• O Transport Layer Security (TLS) utiliza o RSA com
chaves de 1024 e 2048 bits;
• Como no SSL quando é estabelecido a conexão em
uma sessão TLS existe a negociação para se
estabelecer quais algoritmos serão utilizados;
 O servidor e o cliente fazem sua autenticação;
 São negociados algoritmos e chaves de criptografia.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
158
79
TLS
• Se diferencia do SSL na função MAC que no TLS é
chamada de HMAC utilizada para garantir a
integridade e autenticação das mensagens;
• O Keyed-Hashing for Message Autetication Code
(HMAC) não utiliza algoritmo simétrico como no
SSL, no TLS é utilizado uma função Hash;
• A vantagem do HMAC esta na rapidez e aumento da
segurança pois pode ser utilizado qualquer função
hash ao invés dos tradicionais MD5 e SHA;
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
159
TLS
• Como no SSL o TLS tem dois protocolos para
garantir a comunicação segura entre as partes:
TLS Record Protocol
TLS Handshake Protocol
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
160
80
TLS
Aplicação
TLS
TCP
UDP
IP
Enlace
Físico
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
161
TLS
Handshake
(22)
CSS
(20)
Alert
(21)
Application
(23)
RECORD
Fragmentação
Compressão
Encriptação
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
162
81
HTTPS
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
163
HTTPS
• O HyperText Tranfer Protocol Secure (HTTPS) é o
HTTP utilizado sobre o SSL com objetivo de
implementar mecanismos de segurança nas aplicações
que utilizam o HTTP.
• O Servidor HTTP deve ter suporte para o SSL.
• Normalmente as requisições são alteradas da porta 80
para 443.
• No cliente ele poderá ser identificado com a
utilização do HTTPS// ao invés do tradicional
HTTP://
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
164
82
FTPS
• O File Tranfer Protocol Secure (FTPS) é o FTP
utilizado sobre o SSL com objetivo de implementar
mecanismos de segurança nas aplicações que utilizam
o FTP.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
165
VI – Certificados Digitais
83
Certificados Digitais
• A utilização de chaves públicas e privadas utilizando
criptografia assimétrica proporcionou importantes
avanços para a comunicação na Internet;
 No entanto as transações eletrônicas necessitavam de mais
segurança;
 Autenticidade, confidencialidade, integridade;
 Como garantir o processo de segurança na comunicação
entre duas entidades ou pessoas que não se conhecem ?
• Certificação Digital !
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
167
Certificados Digitais
• Como fazer a troca das chaves publicas em um lugar
seguro evitando ataques de man-in-the-middle ?
• O certificado digital é uma forma para certificar as
chaves públicas das empresas e pessoas por meio de
autoridade certificadoras (AC);
• O ITU-T e o IETF estabeleceram um padrão para
certificados digitais chamado de X.509 que
atualmente esta na versão 3.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
168
84
Certificados Digitais
• O padrão X.509 determina os seguintes campos para
os certificados:











04/2023
Versão;
Número serial;
Tipo de algoritmo de hash utilizado pela AC para assinar o certificado;
Issuer: informações da CA que emitiu o certificado;
Valid from: data inicial da validade do certificado;
Valid to: data final da validade do certificado;
Subject: identificação do emissor, computador, ca etc..
Informações do algoritmo da chave pública;
Chave pública;
Assinatura da AC;
Atributos ou extensões;
© Segurança de TIC - Mario Lemes Proença Jr.
169
Certificados Digitais
Para ver certif
icado no
Chrome F12 ou
(crtl+shift+I) e
vai na security
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
170
85
Certificados Digitais
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
171
Certificados Digitais
• ICP-Brasil é a infra-estrutura de chaves públicas
brasileira. Executa as políticas de certificados e
normas técnicas e operacionais aprovadas pelo comitê
gestor.
• O Instituto Nacional de Tecnologia da Informação
(ITI) é uma autarquia federal vinculada a Casa Civil
da Presidência da Republica com o objetivo de manter
a infra-estrutura de chaves publicas brasileira – ICPBrasil.
• Certificação Digital no Brasil
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
172
86
Certificados Digitais
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
173
Assinatura Digital
Texto
Bla bla
bla bla
bla bla
bla bla
bla bla
2
1
Hash
Hash do texto
7f2983e8a8bc
1. Calcula o hash do texto
2. Cifra o hash com chave privada
 SOMENTE VC TEM SUA CHAVE PRIVADA
3. Transmite o texto com a assinatura
04/2023
Chave
privada
Bob
Texto
Bla bla
bla bla
bla bla
bla bla
bla bla
Hash
crifado
#@%$@
%&*%
Hash do texto
crifado
#@%$@%&*%
3
© Segurança de TIC - Mario Lemes Proença Jr.
174
87
Assinatura Digital
Texto
Bla bla
bla bla
bla bla
bla bla
bla bla
Hash
crifado
#@%$@
%&*%
1
Texto
Bla bla
bla bla
bla bla
bla bla
bla bla
2
Hash
4
ok
Comparar valores
3
Hash
crifado
#@%$@
%&*%
1.
2.
3.
4.
Hash do texto
7f2983e8a8bc
Chave
pública
Bob
Hash do texto
7f2983e8a8bc
não
Separa o texto do hash recebido
Calcula o hash do texto recebido
Decodifica o hash com chave pública do Bob
Compara hash recebido com novo calculado
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
175
Assinatura Digital
Texto
bla bla bla bla bla
Hash do texto 7f2983e8a8bc
Texto
bla bla bla bla bla
Hash do texto 7f2983e8a8bc
Alice calcula o hash do texto recebido e compara com o hash enviado,
se for igual então texto esta integro !!! Mas ...
Como garantir o não repudio ou a autenticidade de quem enviou ?
Como garantir a privacidade ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
176
88
Assinatura Digital
Texto
bla bla bla bla bla
Texto
bla bla bla bla bla
1º Hash do texto
2º cifrar chave privada de Bob
#@%$@%&*%
1º Decifrar chave pub de Bob
2º Hash do texto
#@%$@%&*%
Somente o Bob tem sua chave privada
Se Alice conseguiu decifrar com a chave pública de Bob é
porque foi ele mesmo quem assinou !!!
Como garantir a PRIVACIDADE ?
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
177
Assinatura Digital
Texto
bla bla bla bla bla
Texto
bla bla bla bla bla
1º Hash do texto
2º cifrar chave privada de Bob
#@%$@%&*%
3º Cifrar TUDO com chave
pública de Alice
#@%$@%&*%
1º Decifrar chave pub de Bob
2º Hash do texto
#@%$@%&*%
3º Decifrar TUDO com chave
privada de Alice
Alice irá decifrar com sua chave privada e terá privacidade !
Somente o Bob tem sua chave privada
Se Alice conseguiu decifrar com a chave pública de Bob é
porque foi ele mesmo quem assinou !!!
 INTEGRIDADE, AUTENTICIDADE e PRIVACIDADE
1
04/2023
2
3
© Segurança de TIC - Mario Lemes Proença Jr.
178
89
Bibliografia
 Computer Security: Principles and Practice, 3rd Edition, 3a ed. William Stallings
ISBN-10: 0133773922 Pearson Prentice Hall Copyright: 2015
 Cryptography and Network Security: Principles and Practice, 7/E
Stallings ISBN-10: 0134444280, Publisher: Prentice Hall Copyright: 2016
William

 Governança
Avançada
de
TI,
Na
Autor: Ricardo Mansur, Editora: Brasport, 2009, ISBN 978-85-7452-404-7.
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
Prática,
179
Bibliografia
 Estratégias de Governança de Tecnologia de Informação, Alberto Luiz Albertin;
Rosa Maria de Moura; editora Elsevier – Campus , 2010 ISBN 978-85-352-3706-1
04/2023
© Segurança de TIC - Mario Lemes Proença Jr.
180
90
Related documents
BudgetHighlights23-24
BudgetHighlights23-24
Falta de Energia 1240873296
Falta de Energia 1240873296
Голос України - Стаття про Фролова
Голос України - Стаття про Фролова
FICHA DE EPI (2)
FICHA DE EPI (2)
megaleiloes matricula J86720 230120-133328
megaleiloes matricula J86720 230120-133328
Capa Balanca comunicacao digital
Capa Balanca comunicacao digital
transaction 44152015 confirmation 20230323 161018
transaction 44152015 confirmation 20230323 161018
Download
advertisement